EN

SOC Süreçler ve Prosedürler

05 Mart 2019

Gerçekleşmekte olan tehditleri saptamak, kapsam ve etkilerini tespit etmek, etkili ve hızlı bir şekilde müdahale etmek için SOC ekibinin uygulaması gereken kritik adımları kararlaştırarak bir liste oluşturmak büyük önem taşımaktadır.

SOC Etapları

Etap 1- Olay Sınıflandırma ve Öncelik Belirleme (Triage):

Kullanıcı aktiviteleri, sistem olayları(system events), güvenlik duvarı izin ve ret bilgilerinin yanı sıra belirli bir paterne sahip belirli olay dizileri ve kombinasyonları asıl saldırı göstergeleri arasında sayılabilir. Bu nedenle bu kritik olaylara ilişkin log verilerinin toplanması, korelasyonu ve analizi büyük önem taşımaktadır. Bu etapta her bir olayın hızlı bir şekilde sınıflandırılarak ilave araştırmalar gerektiren kritik olayların önceliklendirilip ilk sıralara alınması büyük önem arz etmektedir.

Bunun için Seviye 1 SOC Analistleri en son tespit edilen ve en yüksek kritiklik derecesine sahip olan olayları gözden geçirirler. Bu olayların daha ileri analizlere ihtiyaç duyduğunu belirlemeleri durumunda sorunu Seviye 2 Analistlere bildirirler. Bu aşamada tüm aktivitenin belgelendirilmesi önem taşımaktadır.

Atakların hassas bilgilere ve sistemlere zarar verecek bir seviyeye yükselmeden erken evrede tespit edilmesi bu etapta alınacak aksiyonları önemli kılmaktadır.

Alarm Türleri

Keşif ve Araştırma (Probe):

- Saldırganın kurum hakkında bilgiler elde etmeye çalışması
- Öncelik seviyesi düşük
- Seviye 1 analistin tehdit istihbarat topluluklarının duyuru ve aktivitelerini takip etmesini (haftalık olarak) gerektirir.

İstismar Kodunun Gönderilmesi ve Saldırı:

- Zararlı yazılımın sisteme yerleştirilmesi girişimleri
- Düşük/orta dereceli
- Seviye 1 Analistin tehdit istihbarat topluluklarının duyuru ve aktivitelerini takip etmesini (haftalık olarak) gerektirir.

İstismar ve Kurulum:

- Bir açıklığın başarılı bir şekilde sömürülmesi veya sistemde Backdoor/RAT kurulması
- Orta/yüksek dereceli
- Doğrulama ve inceleme yapıldıktan sonra Seviye 2’ye bildirilmesi gerekmektedir.

Sistemin Ele Geçirilmesi:

- Yüksek seviyeli
- Doğrulama ve inceleme işlemlerinin yapılıp Seviye 2’ye duyurulmasını gerektirir.

Etap 2- Önceliklendirme ve Analiz

Önceliklendirme aşamasında iş sürekliliğini en kötü etkileyecek olaylara odaklanılması gerekir. Bunun belirlenebilmesi için hangi bilişim varlıklarının daha kritik olduğu saptanmış olmalıdır.

Bu etapta kurumunuza yapılan herhangi bir sızma girişimine işaret eden durumlar incelenip uygun aksiyon alınması önem taşımaktadır. Denetime alınması gereken saldırı göstergeleri arasında mevcut bir açıklığı istismar ederek sistemde kurulan rootkit/uzaktan erişim trojanları (RAT), iç ağdaki bir makine ile bilinen kötü bir IP adresi arasındaki ağ iletişimi gibi kritik işlemler sayılabilir.

İzlemeye alınması gereken varlıklar belirlenirken:

- Ağ üzerindeki IP atanmış tüm cihazlar
- Bu cihazlar üzerinde kurulu olan yazılımlar ve servisler
- Nasıl yapılandırılmış oldukları
- Zafiyet barındırıp barındırmadıkları gibi faktörler göz önünde bulundurulmalıdır.

Varlıkları Belirleme

Kurumun iş sürekliliği için çalışmasının aksamaması gereken kritik önemdeki cihazların tespit edilmesi ve varlık envanterinin belirlenip sürekli güncellenmesi büyük önem taşımaktadır. Dikkat edilmesi gereken kriterler:

- Kurumunuzun süregiden işlevlerinin kesintiye uğramaması için hangi sistemler kritik önemde?
- Hangi sistemler günlük görevler için kritik önemde?
- Bu kritik varlıklar ve servisler hangi diğer sistemlere cihaz ve ağlara bağımlı?
- Hangi sistemler hassas bilgiyi saklamakta ve yönetmekte?

Etap 3- İyileştirme ve Kurtarma

Saldırının hızlıca tespit edilip müdahale edilmesi oluşacak zararın etkilerinin azaltılmasını ve benzer saldırıların gelecekte gerçekleşmesinin önlenmesini kolaylaştırmaktadır. Saldırının etkilerini azaltma, kurtarma planını uygulama veya bu saldırının bir suç olarak araştırmaya açılıp açılmayacağını kararlaştırma gibi konuları değerlendirmek için SOC ekibi yönetim ekibi ile irtibat halinde olmalı ve her şeyi dokümanlaştırmalıdır.

Saldırıyı kontrol altına almak için alınan aksiyonlar genelde şu adımları kapsar:

- Sistemlerin imaj bazında yedeğinin alınması
- Sistemleri yamalamak ve güncellemek
- Sistem erişimlerini yeniden yapılandırmak (Hesap ve parolalar)
- Ağ erişimlerini yeniden yapılandırmak (VPN, güvenlik duvarları ve erişim kontrol listeleri)
- Sunucular ve diğer varlıklar üzerindeki izleme araçlarını yapılandırmak (HIDS)
- Zafiyet taramaları yaparak yama süreçlerini ve diğer güvenlik kontrollerini denetlemek

Bazı durumlarda SOC ekibi iyileştirme ve kurtarma süreçlerini BT departmanındaki diğer gruplara devredebilir, bu durumda SOC analisti ticket veya kontrol değişimi istemi oluşturmalıdır.

Etap 4- Durum Tespiti ve Denetim

Kurumların siber saldırıya maruz kalmadan önce açıklıklarının tespit edilip kapatılması ve gerekli önlemlerin alınması için periyodik zafiyet değerlendirmesi yapılması ve bulguların rapor edilmesi güvenliğin yüksek düzeyde tutulmasına katkı sağlayacaktır. SOC süreçlerine en iyi şekilde adapte olarak zafiyetlerin kapatılması işlemlerinin geciktirilmeden zamanında yapılması gerekmektedir.

Politika uyumluluk süreçleri ve SOC ekibinin verimliliğinin arttırılması işlemlerinin etkili gerçekleştirilmesi için iç veya dış denetim ekiplerinden yardım alınması performansı yükseltecektir.

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog